Привет, инженеры! На связи команда T.E.X.H.O. Сегодня не будем говорить про банальности вроде "не открывайте ссылки от незнакомцев". Это вы и так знаете. Сегодня мы лезём под капот Windows 11 (22H2, 23H2, 24H2), чтобы выкрутить защиту от фишинга на максимум.
Представьте ситуацию: ваш главбух, уставший после квартального отчёта, вводит доменный пароль на сайте micros0ft-login.com. Или сисадмин-стажёр сохраняет пароль от root в passwords.txt на рабочем столе. В стандартной конфигурации Windows часто просто "пожимает плечами". Но если мы включим Усиленную защиту от фишинга (Enhanced Phishing Protection) и Сетевую защиту (Network Protection), система даст по рукам ещё до того, как данные улетят злоумышленнику.
- ЛАЙК РЕПОСТ И ПОДПИСКА СПОСОБСТВУЮТ ПРОДВИЖЕНИЮ КАНАЛА
⚙️ Механика: Как это работает внутри
Чтобы понимать, что мы настраиваем, нужно знать матчасть. В современных сборках Windows (начиная с 22H2) Microsoft внедрила защиту на уровне ядра ввода.
1. Сенсор ввода: Система хеширует пароль текущего пользователя Windows при входе. Когда пользователь набирает текст в любом приложении (браузер, Notepad, Word), система на лету сравнивает хеш набираемого текста с хешем пароля от учётки.
- Важно: Сам пароль никуда не передаётся в открытом виде. Сравнение локальное, на уровне операционной системы.
2. Репутационная оценка SmartScreen: Если хеш совпал, система смотрит, где именно это произошло.
- Это доверенное приложение? (например, окно входа в виртуальную сеть).
- Это сайт из белого списка?
- Или это подозрительный адрес без репутации?
3. Сетевая защита (SmartScreen в режиме драйвера): Это "длинная рука" Defender'а. Она работает не только в Edge, но и перехватывает сетевые вызовы от любых процессов (PowerShell, cURL, сторонние браузеры), блокируя адреса и адреса сайтов из списка Разведки об угрозах (Threat Intelligence).
🛠 Пошаговая инструкция
Мы пойдём от простого к сложному. Если у вас домен — сразу переходите к групповой политике. Если "зверинец" из отдельных машин — используйте реестр и PowerShell.
Уровень 1: Графический интерфейс (для тестов и одиночных машин)
Самый быстрый способ проверить, доступна ли функция вообще.
- Открываем Безопасность Windows → Управление приложениями и браузером.
- Жмём Параметры защиты на основе репутации.
- В блоке Защита от фишинга (доступно только в Win 11 22H2 и новее) ставим галочки:
✅ Предупреждать о вредоносных приложениях и сайтах.
✅ Предупреждать о повторном использовании пароля (самое вкусное!).
✅ Предупреждать о небезопасном хранении паролей (Notepad/Word).
Уровень 2: Групповая политика (для Active Directory и энтерпрайза)
Накатываем политики на весь парк машин через центр управления.
Путь: Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Защита SmartScreen в Windows Defender → Усиленная защита от фишинга.
Здесь 5 ключевых параметров (переводим в Включено):
- Включить сервис: Активирует саму службу.
Режим: Включено. - Уведомлять о вредоносном: Орёт, если юзер зашёл на фишинговый сайт.
Режим: Включено. - Уведомлять о повторном использовании пароля: Орёт, если юзер вбил корпоративный пароль на левом сайте.
Режим: Включено. - Уведомлять о небезопасном приложении: Орёт, если юзер пишет пароль в Блокнот.
Режим: Включено. - Автоматический сбор данных: Позволяет системе собирать контент для анализа при подозрительной активности.
Режим: Включено.
Канал «Каморка Программиста» — это простые разборы программирования, языков, фреймворков и веб-дизайна. Всё для новичков и практиков.
Присоединяйся прямо сейчас.
Уровень 3: Экстремум через реестр (PowerShell / CMD)
Для тех, кто разворачивает через RMM или скрипты. Создаём файл .reg или пушим ключи напрямую.
# Включаем сервис Усиленной защиты от фишинга
$Path = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WTDS\Components"
if (!(Test-Path $Path)) { New-Item -Path $Path -Force | Out-Null }
# 1 = Включено, 0 = Выключено
Set-ItemProperty -Path $Path -Name "ServiceEnabled" -Value 1 -Type DWord
Set-ItemProperty -Path $Path -Name "NotifyMalicious" -Value 1 -Type DWord
Set-ItemProperty -Path $Path -Name "NotifyPasswordReuse" -Value 1 -Type DWord
Set-ItemProperty -Path $Path -Name "NotifyUnsafeApp" -Value 1 -Type DWord
Set-ItemProperty -Path $Path -Name "AutomaticDataCollection" -Value 1 -Type DWord
# Бонус: Включаем Сетевую защиту в режим БЛОКИРОВКИ (не аудит)
# Это уже ветка Защиты от использования уязвимостей Defender'а
Set-MpPreference -EnableNetworkProtection Enabled
Вариант через файл реестра (.reg):
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WTDS\Components]
"ServiceEnabled"=dword:00000001
"NotifyMalicious"=dword:00000001
"NotifyPasswordReuse"=dword:00000001
"NotifyUnsafeApp"=dword:00000001
"AutomaticDataCollection"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Network Protection]
"EnableNetworkProtection"=dword:00000001
💡 Практические советы от T.E.X.H.O
1. Не включайте сразу режим "Блокировка" для Сетевой защиты.
Если вы админ локальной сети с кучей самописного ПО, которое лезет на IP-адреса без имён доменов, Сетевая защита может положить вам работу.
- Сначала: Set-MpPreference -EnableNetworkProtection AuditMode
- Смотрим журналы: Event Viewer → Журналы приложений и служб → Microsoft → Windows → Windows Defender → Операционный (события 1125 и 1126).
- Только потом: Включаем режим блокировки (Set-MpPreference -EnableNetworkProtection Enabled).
2. Браузеры-конкуренты.
Усиленная защита от фишинга встроена в операционную систему, поэтому он "видит" ввод пароля даже в Chrome. Но для блокировки адресов сайтов на сетевом уровне в Chrome лучше работает связка Сетевая защита + расширение Защиты Microsoft Defender для браузера. Без расширения Chrome использует Безопасный просмотр Google, базы которого отличаются от Microsoft.
3. Закон РФ и контроль утечек данных (DLP).
⚠️ Критически важный момент: Технически система анализирует ввод пользователя. В корпоративной среде это легально (при наличии подписанных политик информационной безопасности и соглашений о неразглашении), но вы обязаны уведомить сотрудников, что на рабочих станциях применяются средства контроля ввода для предотвращения утечек. Не используйте это на личных компьютерах сотрудников без их явного согласия — это нарушение трудового законодательства РФ.
🚀 Производительность и метрики
Многие опасаются, что SmartScreen "вешает" интернет.
Реальность: Задержка при проверке адреса составляет миллисекунды (облачный поиск). Система работает асинхронно, чтобы не блокировать процессы.
Узкое место: Процесс MsMpEng.exe (Служба защиты от вредоносных программ). Если включить Сетевую защиту, он начинает инспектировать трафик.
- На практике: Для сетевого канала 10 Гбит/сек Сетевая защита может дать нагрузку на процессор до 10–15% на одно ядро. Для офисной работы (браузер/почта) влияние незаметно (менее 1%).
Оптимизация в Windows 11: Есть функция Асинхронная инспекция (Asynchronous Inspection). Если проверка занимает долго, пакет пропускается (принцип "fail-open"), но алерт все равно прилетит позже. Это включено по умолчанию и помогает избежать подвисаний.
Проверить статус асинхронной инспекции:
Get-MpPreference | Select-Object AllowSwitchToAsyncInspection
🛡 Безопасность и откат (Rollback)
Что делать, если "всё сломалось" и нужно срочно пустить директора на его любимый форум рыбаков, который SmartScreen посчитал опасным?
Быстрый откат через PowerShell (администратор):
# Отключаем Сетевую защиту
Set-MpPreference -EnableNetworkProtection Disabled
# Отключаем Усиленную защиту от фишинга (через реестр, так как командлета нет)
$Path = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WTDS\Components"
Set-ItemProperty -Path $Path -Name "ServiceEnabled" -Value 0 -Type DWord
Перезагрузка для Сетевой защиты обычно не требуется, но для компонентов WTDS (Усиленная защита) может потребоваться повторный вход пользователя в систему.
Полный откат через файл реестра:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WTDS\Components]
"ServiceEnabled"=dword:00000000
"NotifyMalicious"=dword:00000000
"NotifyPasswordReuse"=dword:00000000
"NotifyUnsafeApp"=dword:00000000
🔍 Типичные ошибки и диагностика
Симптом: Ошибка "SmartScreen недоступен прямо сейчас"
Причина: Нет доступа к серверам Microsoft или Proxy требует аутентификации.
Решение: Проверьте интернет. Если используется корпоративный Proxy — добавьте исключения для адресов *.smartscreen.microsoft.com и *.smartscreen-prod.microsoft.com.
Симптом: Не работает предупреждение о пароле
Причина: Вы используете ПИН-код или биометрию (Windows Hello). Усиленная защита от фишинга триггерится именно на ввод пароля.
Решение: Это нормально. Если вы входите по ПИН-коду, хеш пароля не находится в памяти в нужном виде для мониторинга ввода. Согласно документации Microsoft (2025 год), функция специально отключена при использовании биометрии, чтобы избежать ложных срабатываний.
Симптом: Chrome намертво блокируется
Причина: Сработала Сетевая защита на уровне сокетов.
Решение: Посмотрите в Event Viewer, на какой адрес лезет процесс. Добавьте исключение или расследуйте, почему Chrome подключается к подозрительному IP (видимо, расширение или редирект).
Симптом: GPO конфликтует с политиками Intune
Причина: На устройстве есть и локальная политика, и облачная управление. GPO имеет приоритет по умолчанию.
Решение: Используйте параметр MDMWinsOverGP в реестре (не рекомендуется Microsoft), но лучше приведите в порядок GPO и уберите дублирующиеся параметры.
# Проверить приоритет MDM vs GPO
Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\MDM" -Name "MDMWinsOverGP"
✅ Чек-лист внедрения
- Проверить версию ОС: Windows 11 22H2 или новее (сборка 22621 и выше).
- Убедиться, что вход осуществляется по паролю (для тестов функции повторного использования пароля).
- Включить режим Аудита для Сетевой защиты на тестовой группе машин.
- Проанализировать журналы событий (Event Viewer) через неделю.
- Включить режим Блокировки и политики Усиленной защиты через групповую политику или реестр.
- Отправить рассылку сотрудникам: "Если Windows ругается на Блокнот — это не вирус, это мы вас бережём".
- Настроить исключения для внутренних сервисов, если требуется.
- Включить сбор телеметрии для анализа в Microsoft 365 Defender (если используется Microsoft Defender для конечной точки).
❓ FAQ (Часто задаваемые вопросы)
В: Передаёт ли Microsoft мои пароли в облако для проверки?
О: Абсолютно нет. Проверка происходит локально. Система сравнивает хеш того, что вы вводите, с хешем вашего локального или доменного пароля. В облако уходит только факт срабатывания ("Пользователь X на устройстве Y столкнулся с попыткой фишинга"), но не сам пароль. Это зашифрованная телеметрия, соответствующая стандартам приватности.
В: Работает ли это, если я сижу через виртуальную сеть?
О: Да, работает. Сетевая защита функционирует на уровне стека TCP/IP операционной системы, до того, как трафик уйдёт в туннель (или внутри него, в зависимости от типа VPN-клиента). Усиленная защита от фишинга работает на уровне ввода клавиатуры, поэтому виртуальная сеть не влияет на её работу.
В: Можно ли защитить пароли не от Windows, а, например, от системы управления отношениями с клиентами (CRM) в браузере?
О: Усиленная защита от фишинга заточена именно под учётные данные Windows или Azure AD. Для защиты произвольных паролей используйте менеджеры паролей с функцией предупреждения о фишинге (KeePass, Bitwarden, 1Password), но встроенный Defender защищает именно "ключи от королевства" (вход в систему).
В: Грузит ли это старые ноутбуки (Intel Core i3, 8 ГБ ОЗУ)?
О: Сам модуль Усиленной защиты от фишинга — нет (это просто сравнение строк в памяти). Сетевая защита может давать небольшую нагрузку, но на современном железе это незаметно. На старых ноутбуках может быть прирост нагрузки на процессор на 3–5%, но работоспособность не нарушается.
В: Почему опции в "Безопасности Windows" серые и не нажимаются?
О: Значит, они управляются вашей организацией (групповая политика или облачное управление Intune). Чтобы изменить их, нужно лезть в реестр с правами локального администратора или править групповую политику на контроллере домена.
В: Можно ли добавить внутренний портал компании в белый список, чтобы не было предупреждений?
О: Можно! Используйте параметр EnableWebSignIn в Configuration Service Provider (CSP) или добавьте вашу внутреннюю точку входа в список доверенных адресов. Для GPO это делается через Параметры защиты на основе репутации → Добавить исключение.
Вывод
В 2025 году антивирус — это не поиск файлов по сигнатурам. Это анализ поведения и контекста. Усиленная защита от фишинга — это бесплатный, встроенный и чертовски эффективный слой защиты, который закрывает самую большую дыру в безопасности: человеческий фактор.
Включить его — дело 10 минут, а сэкономить он может миллионы нервных клеток (и рублей) при предотвращении компрометации аккаунтов. Накатывайте конфиги, тестируйте в режиме аудита и спите спокойнее! 😴
Подписывайтесь на T.E.X.H.O — здесь вы найдёте не только про Windows, но и про Linux, сети и DevOps без цензуры!
🔖Дорогие гости и подписчики канала. Если наши материалы приносят вам пользу, вы всегда можете поддержать команду символическим переводом. Любая помощь мотивирует писать для Вас больше полезного и качественного контента безо всяких подписок.🙏🤝🙏🤝🙏
💰ПОДДЕРЖАТЬ КАНАЛ МОЖНО ТУТ ( ОТ 50 РУБЛЕЙ )💰
Или сделать любой перевод по QR-коду через СБП. Быстро, безопасно и без комиссии.(Александр Г.)
С уважением, Команда "Т.Е.Х.Н.О Windows & Linux".
#Windows11 #МикрософтДефендер #Безопасность #Системный_администратор #DevOps #Информационная_безопасность #Кибербезопасность #Защита_от_фишинга #SmartScreen #Сетевая_защита #GroupPolicy #PowerShell #Твики_реестра #Защита_Windows #Администратор #IT_поддержка #Microsoft #Синяя_команда #Укрепление_защиты #DLP #Корпоративная_защита #Информационная_безопасность #Администрирование_систем #Настройка_Windows #Защита_данных #Фишинг #Защита_учётных_данных #IT_инструкции #Советы_Windows11 #Технический_блог #Лучшие_практики